Die Corona App – Risiken und Nebenwirkungen

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Die Corona App – Risiken und Nebenwirkungen

Die Corona App – Risiken und Nebenwirkungen

Nach Kontaktbeschränkung, Maskenpflicht und vermehrten Tests soll demnächst eine sogenannte Tracing-App helfen, die Ausbreitung von Corona einzudämmen. Mit deren Entwicklung hat die Bundesregierung jüngst den Softwareriesen SAP und die Telekom beauftragt. Es scheint also beschlossene Sache, dass die App kommt. Auch Apple und Google entwickeln schon Smartphone-Schnittstellen. So stellt Apple mit dem letzten Software Update schon „Corona Funktionen“ im iOS Betriebssystem bereit.

Europa als Vorbild

Staaten wie China, Singapur, Südkorea und Israel haben zur Durchsetzung von Quarantäne und zur Kontaktverfolgung teils zu radikalen Maßnahmen gegriffen. Israel setzte den Inlandgeheimdienst zur Überwachung ein und in Singapur mussten Menschen in Quarantäne durch Videoaufnahmen ihrer Wohnung nachweisen, dass sie wirklich zu Hause sind.

Europäische Initiativen, insbesondere das Pan-European Privacy Preserving Proximity Tracing (PEPP-PT) – Konsortium, versprechen dagegen ein datenschutzfreundliches Konzept. Die Bundesregierung beabsichtigt dabei die Nutzung des sogenannten Decentralized Privacy-Preserving Proximity Tracing (DP-3T), einer teilweise dezentralisierten Architektur, die neben dem Informieren von infektionsgefährdeten Personen zugleich epidemiologische Forschung erlaubt.

Eine dezentrale Speicherung der Daten auf den Smartphones der Nutzer soll staatlichen Missbrauch vorbeugen. Doch hält die Technik ihr versprechen?

Zu Risiken und Nebenwirkungen lesen Sie die Datenschutz-Folgenabschätzung

Sie fragen sich möglicherweise, was es mit einer Datenschutz-Folgenabschätzung auf sich hat. Was wie ein Wortungeheuer aus den Untiefen deutscher Behörden klingt, könnte helfen, Licht ins Dunkel der geplanten Corona-Tracing-App zu bringen. Nach Art. 35 DSGVO müssen alle Datenverarbeiter vor riskanten Verarbeitungen eine Datenschutz-Folgenabschätzung durchführen. Das ist bei der Corona-Tracing-App unbestritten der Fall, denn schließlich handelt es sich um eine massenhafte Verarbeitung von Gesundheitsdaten. Es wird daher kritisiert, dass das Robert Koch Institut bisher keine Datenschutz-Folgenabschätzung veröffentlicht hat. Denn diese könnte eine Grundlage für eine gesellschaftliche Debatte zu den Risiken und Chancen einer solchen App ermöglichen.

Mangels einer Datenschutz-Folgenabschätzung von offizieller Seite hat das „Forum der InformatikerInnen für Frieden und gesellschaftliche Verantwortung“ e.V. („FIfF“) kurzerhand selbst eine Datenschutz-Folgenabschätzung durchgeführt. Kurzerhand? Nicht ganz. Immerhin setzt er sich über gut 100 Seiten mit der Funktionsweise, den Akteuren und möglichen Risiken einer möglichen Corona-App auseinander.

Erhebliche Risiken auch bei dezentraler Ausgestaltung

Das FIfF stellt zunächst fest, dass die Datenschutzkonformität der geplanten App keine klare Ja/Nein Antwort ermöglicht, sondern die Beurteilung komplexe Erwägungen erfordert.

Hauptrisiken – fehlende Freiwilligkeit und Intervention

Es besteht die Gefahr der mangelnden Freiwilligkeit der App-Nutzung. Es könnte ein faktischer Nutzungszwang entsteht. So könnten Arbeitgeber beispielweise die Rückkehr an den Arbeitsplatz an die Nutzung der App koppeln. Denkbar ist auch, dass die App als Zugangsvoraussetzung zu Gebäuden, Räumen oder Veranstaltungen genutzt wird. Das FIfF spricht insofern von der Illusion der Freiwilligkeit.

Es besteht auch die Gefahr tiefgreifender Grundrechtseingriffe bei „Fehlalarm“. So sei es denkbar, dass es zu einer Kontaktmessung durch die Wand zwischen zwei Wohnungen kommt oder bei vorbeilaufenden Passanten bei Erdgeschosswohnungen sowie fehlerhaften Positivtests von Laboren. Entscheidend ist hier, welche Maßnahmen an die Feststellung eines Kontakts mit einem Infizierten geknüpft werden. Besteht beispielsweise keine Möglichkeit gegen eine verordnete Quarantäne zu intervenieren, besteht die Gefahr tiefgreifender Freiheitsbeschränkungen.

Art. 22 Abs. 3 DSGVO sieht bei Entscheidungen aufgrund automatisierter Verarbeitungen eine Anfechtungsmöglichkeit vor. Bisher sieht jedoch keines der vorgeschlagenen oder eingesetzten Systeme dahingehend Möglichkeiten vor.

Weitere Schwachstellen und Risiken

Weitere Risiken werden in Kapitel 7 (S. 69) geschildert:

Ein weiteres Risiko stellt Verhaltensscoring dar. So könnten die Kontaktverläufe infizierter Nutzer verwendet werden, um nachzuvollziehen, wie viel eine Person mit Anderen in Kontakt getreten ist. Behörden könnten bei individueller Nachverfolgung im schlimmsten Fall anhand des Verhaltensscorings Strafverfolgung einleiten, eine individuelle Beteiligung an den Behandlungskosten an den Scores bemessen oder über den Zugang zu knappen medizinischen Ressourcen anhand der Scores entscheiden (z.B.: »wer sich gemäß Datenauswertung fahrlässig verhalten hat, hat den Beatmungsplatz nicht verdient«).

Zudem sind Freiheitsbeschränkung bei Nichtnutzung der App denkbar. So lautete ein Vorschlag des Tagesspiegels in einem Gastkommentar vom 07.04.2020:

Prinzip Führerschein: Wer mit Maske und ›Corona-App‹ sein Gefährdungspotenzial für Andere reduziert, sollte nicht weiter beschränkt werden.

Es ist zudem nicht auszuschließen, dass es zu einer „Sekundärnutzung“ der Tracing-App kommt. So könnten nach einem Terroranschlag Stimmen laut werden, die eine Nutzung der App zur Feststellung von Terrorverdächtigen fordern. Nach dem Motto: „Mittel die man hat, sollte man auch nutzen“.

Auch unklar ist, wie verhindert werden kann, dass Telefon-Betriebssystem-Hersteller wie Apple oder Google Informationen abgreifen, da sie als App-Plattform-Betreiber die technisch und organisatorische Infrastruktur von Apps bereitstellen. Sie verarbeiten die bei der Nutzung anfallenden Metadaten als Bestandteil ihrer Geschäftsmodelle.

Risikofaktoren: Gesundheitsdaten und Anonymität

Wegen der Verarbeitung personenbezogener Gesundheitsdaten, ist zudem besondere Vorsicht geboten. Weil nur Daten derjenigen Personen übertragen werden, die als infiziert diagnostiziert wurden, sind die übertragenen Daten zugleich Gesundheitsdaten. Ihre Verarbeitung ist nach Art. 9 DSGVO nur besonders beschränkten Maße zulässig. Eine mögliche Rechtsgrundlage ist die Einwilligung der Betroffenen, die jedoch nur bei freiwilliger Erteilung wirksam ist. Alternativ könnten gesetzliche Grundlagen geschaffen werden. Das Infektionsschutzgesetz sieht bisher nach überwiegender Ansicht keine Rechtsgrundlage dafür.

Besonderes Augenmerk muss auch der Gewährleistung der Anonymität der Nutzer gelten. Nur durch einen mehrdimensionalen Ansatz könne der Personenbezug wirksam und irreversibel von den verarbeiteten Daten abgetrennt werden, so dass danach von anonymen Daten gesprochen werden kann. Allen derzeit vorliegenden Vorschlägen fehle es aber an einem solchen expliziten Trennungsvorgang. Der FIfF schlägt daher in Kapitel 8 (S. 79 f) rechtliche, technische und organisatorische Anforderungen vor, deren Umsetzung in der Praxis eine wirksame und irreversible Trennung sicherstellen sollen.

Kommt ein Corona-App Gesetz?

Eine Gruppe renommierter Datenschützer hat am 03. Mai einen Vorschlag für ein Gesetz zur Einführung und zum Betrieb einer App-basierten Nachverfolgung von Infektionsrisiken mit dem SARS-CoV-2 (Corona) Virus veröffentlicht.

Einwilligung nicht geeignet

Die Autoren gehen von der Prämisse aus, dass eine Einwilligung nicht als Rechtsgrundlage für die Verarbeitung der Daten geeignet ist und auch das Infektionsschutzgesetz dafür aktuell keine Rechtsgrundlage enthält. Es sollen Grenzen für die Nutzung und den Betrieb der App geschaffen werden.

Begrüßenswerte Regelungen

In § 3 wird klargestellt, dass die Nutzung und Installation freiwillig ist, keine Pflicht für medizinische Maßnahmen besteht und die App zudem jederzeit gelöscht werden darf. In § 5 wird das technische Verfahren unter Nutzung von Bluetooth geschildert, sodass möglichst wenig personenbezogene Daten verarbeitet werden (Datensparsamkeit). Weiter wird auch eine strenge Zweckbindung geregelt und ein Ablaufdatum des Gesetzes. Zudem soll das RKI nach § 8 eine Datenschutz-Folgenabschätzung in geeigneter Form öffentlich zur Verfügung stellen. Auch weitere Maßnahmen wie ein monatlicher Transparenzbericht zur Nutzung der App sowie die Klarstellung, dass keine Pflicht zur Registrierung einer Infizierung besteht, sind gute Maßnahmen für eine datenschutzkonforme Ausgestaltung einer Corona-App.

Die DSGVO enthält zwar auch viele der dort geregelten Grundsätze. Die Schaffung eines Gesetzes könnte aber auch eine parlamentarische Debatte zu den Vorteilen und Risiken einer Corona App entfachen. So könnte man schon frühzeitig vielen der oben aufgezählten Risiken begegnen. So ist es begrüßenswert, dass der Vorschlag von einigen Parteien des Bundestags aufgegriffen wurde. Auch das FIfF hatte diesen diskutiert. Man muss sich aber auch bewusstmachen, dass andere Risiken wie beispielsweise die Gefahr eines faktischen Nutzungszwangs oder die Datennutzung durch die App-Store Betreiber lassen sich durch ein solches Gesetz wohl nicht beseitigen.

Ausgang ungewiss

Die Datenschutz-Folgenabschätzung zeigt, wie viele komplexe Erwägungen in die Beurteilung der Corona-Tracing-App einfließen. Wie das FifF klarstellt, haben wir es mit einem gesellschaftlichen Großexperiment zur digitalen Verhaltenserfassung unter staatlicher Aufsicht zu tun. Die grundrechtrechtlichen Folgen betreffen nicht die Nutzer, sondern die Gesellschaft als Ganzes. Wie der Nobelpreisträger George Bernard Shaw einmal sagte: Der Weg zur Hölle ist mit guten Vorsätzen gepflastert, nicht mit schlechten.

Es gilt auch zu bedenken, dass Maßnahmen, die in einer Krise getroffen werden, häufig nicht rückgängig gemacht werden. So wurde in den USA nach 9/11 durch den PATRIOT Act viele Bürgerrechte beschnitten. Das Gesetz wurde unter großem Zeitdruck verabschiedet. Die Abgeordnete Lynn Woosley schrieb sogar: „der Kongress hätte Blut an seinen Händen, wenn es zu einem weiteren terroristischen Anschlag käme, während wir uns beraten“. Trotz zeitlicher Befristung auf vier Jahre, sind große Teile der Regelungen noch heute in Kraft. Corona ist kein Terror. Dennoch ist es eine gesellschaftliche Ausnahmesituation. Es ist daher von entscheidender Bedeutung, dass die Maßnahmen ausführlich diskutiert werden, nur zeitlich begrenzt eingeführt werden und möglichst regelmäßig evaluiert werden müssen. Dass der Quellcode der App offengelegt werden soll, ist ein erster Schritt. Eine Datenschutz-Folgenabschätzung von offizieller Seite wäre das auch.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Die Corona App – Risiken und Nebenwirkungen.